Nonostante siano passati molti anni, il fenomeno del phishing continua a mietere vittime. I criminali utilizzano sempre le stesse tecniche cambiando le modalità di azione. Il recente caso della truffa architettata attraverso la posta elettronica certificata ne è un ulteriore esempio e testimonia come il problema non sia la mancanza di strumenti tecnici e normativi per la gestione della sicurezza informatica ma la scarsa consapevolezza del rischio di adescamento. Difatti ad essere stata violata non è stata la sicurezza dei sistemi di gestione della PEC, come puntualizzato da due importanti autorità di certificazione nazionali Infocamere e Assocertificatori [1], ma la buona fede degli ignari clienti che confidando nell’identità del mittente hanno commesso il solito errore: fornire credenziali, pin dispositivi ed altri dati personali tramite canali non convenzionalmente utilizzati dai servizi di home banking e simili. Purtroppo questo tipo di attività illegale continua inesorabilmente ad essere attuale cambiando ciclicamente i propri strumenti d’azione.
Per difendersi occorre una buona protezione e la massima prudenza e diffidenza senza abbassare mai la guardia. Per assimilare questi concetti è necessaria una formazione ed una educazione digitale che coinvolga le nuove e le vecchie generazioni. Bisogna prendere coscienza che gli atti criminosi possono concretizzarsi anche attraverso gli strumenti informatici.
Nel presente articolo che concludo con un esempio pratico, rispondo ad alcune domande sull’argomento che più frequentemente mi vengono poste:
Possiamo schematicamente suddividere quattro fasi principali.
A tal proposito è consigliabile che nel dubbio ciascuno segua delle regole di buon senso:
In ogni caso si consiglia di integrare queste regole di buona pratica con le seguenti ulteriori raccomandazioni:
Partiamo dal presupposto che nulla è impossibile. Esistono tecniche per far sì che una email sembri inviata da un indirizzo piuttosto che da un altro. È anche possibile creare dei collegamenti a siti apparentemente legittimi e dei file di documenti che in realtà nascondono un software nocivo. Esistono altresì abili tecniche di persuasione. Si parla in questi casi di spoofing, scraping, binding ed ingegneria sociale.
Il formato del nome di un file è un altro aspetto da considerare molto bene. È comunemente indicato attraverso una estensione che è una serie di tre lettere unita al nome del file vero è proprio. Ad esempio, “articolo.txt” è un file da interpretare come testo, mentre “tabella.jpg” è un file da interpretare come immagine. Ciò che gli attaccanti fanno è quello di sfruttare la proprietà dei sistemi Windows di nascondere di default l’estensione dei file più comuni.
Supponiamo di avere a che fare con il file nomefalso.pdf.exe. Dal momento che il sistema operativo conosce l’estensione .exe, per impostazione predefinita non la visualizza. Ecco, quindi, cosa vede l’utente nel caso del file in esame:
L’utente potrebbe essere indotto ad aprire il file ritenendolo un documento pdf. Invece, dovrebbe subito allertarsi notando che l’indicazione del tipo lo classifica come Applicazione piuttosto che come Adobe Acrobat Document. Per evitare questi tipi di trappole è consigliabile abilitare la casella Estensione nomi file e prestare attenzione anche al logo che il sistema operativo assegna al file.
Di seguito le estensioni più comuni a cui fare attenzione:
L’indirizzo web che noi digitiamo sulla barra degli indirizzi del nostro browser è il cosiddetto URL ovvero l’acronimo di Uniform Resource Locator ed altro non è che un indirizzo costituito da più elementi.
A titolo di esempio consideriamo l’indirizzo del nostro magazine e vediamo di individuare le varie componenti che lo compongono.
Il Protocollo determina il tipo di servizio offerto dal server. In questo caso https (Hypertext Transfer Protocol Secure) stabilisce una connessione http sicura con crittografia TLS (Transport Layer Security).
La Risorsa specifica il tipo di contenuto del server: WWW sta per World Wide Web ed indica una pagina html.
Il Nome di Dominio è il nome del sito vero e proprio che viene scelto dal proprietario e assegnato da gestori adibiti al servizio (ictsecuritymagazine).
Il tipo di Dominio viene assegnato da organizzazioni nazionali e/o internazionali ed identifica il tipo di attività. In questo caso .com sta ad indicare una attività commerciale.
Alcuni dei tipi di dominio più comuni sono:
Uno dei metodi più frequentemente usati dai cyber criminali è quello di falsificare i collegamenti a questi URL. Anche se vale sempre la regola di controllare che l’indirizzo di un sito web utilizzi il protocollo sicuro “https”, una buona pratica è quella di non fare mai click sui link, ma di passarci sopra con il puntatore del mouse per verificare prima quale sia l’indirizzo reale. Nella figura di esempio si può vedere come il collegamento punti in realtà ad un indirizzo anomalo (l’indirizzo IP indicato è fittizio).
Osserviamo il seguente indirizzo di posta elettronica e analizziamo i vari elementi
mariorossi@vi.home.it
il simbolo @ (chiamato chiocciola o at) separa il nome dell’intestatario dall’indirizzo della casella postale.
In particolare l’interpretazione corretta è la seguente: “mariorossi” ha la propria casella postale nel “@” pc “vi” gestito dal server “home” appartenente al dominio italiano “it”.
Un consiglio utile pertanto può essere quello di prestare attenzione ai dettagli del mittente di una mail, non soffermandoci semplicemente sul nome distintivo che ci viene proposto.
Di seguito riporto un esempio di messaggio di posta elettronica palesemente taroccato a scopo educativo.
I punti essenziali da controllare sono evidenziati in rosso: a scrivere la mail non è stata l’Agenzia fin XYZK! ma la banda bassotti, il link è sospetto ed l’allegato un falso pdf.
L’esempio che propongo è a scopo esclusivamente informativo e didattico.
Per annidare dentro un file pdf un semplice script di scrittura log che si attivi in background all’apertura del pdf stesso, ho utilizzato il ben noto programma mFileBinder.exe [3].
Per inviare a me stesso il malware come allegato di una “fake mail” ho invece utilizzato uno dei tanti servizi on line offerti da terze parti ovvero Emkei’s Mailer [4].
Una volta mandato in esecuzione mFileBinder.exe ho seguito i seguenti semplici e intuitivi passi:
Come riportato in figura l’home page del servizio web scelto propone, per l’allestimento della mail, di compilare opportunamente i vari campi di un form (mittente, destinatario, oggetto, allegato e corpo del messaggio). Infine una volta inserito il codice captcha e premuto il tasto send la mail così confezionata è stata inviata.
1. La mail è arrivata a destinazione: il filtro antispam della mia casella postale è evidentemente incorso in un errore di valutazione generando un falso negativo. Riporto di seguito un’anteprima e i dettagli dell’header della mail ricevuta.
2. ho proceduto ad analizzare il file nomefalso.pdf.exe attraverso il noto servizio online VirusTotal [5] ottenendo l’esito seguente: solo 49 su 65 antivirus (il 75%) hanno rilevato il codice malevolo. Questo risultato anche se accettabile dal punto di vista probabilistico non può esserlo per quello della sicurezza. Una zona d’ombra del 25% mette in chiaro che il rischio di una infezione informatica non è irrilevante e che non possiamo ritenerci immuni nemmeno da una infezione malware datata e ben nota.
È indiscutibile che la sicurezza antivirus da sola non basta. Occorre che tutti i cibernauti prendano piena coscienza delle gravi conseguenze che una sottovalutazione del rischio informatico può comportare e che è possibile attenuarne l’esposizione adoperando, a supporto degli strumenti di protezione necessari, la regola di sicurezza che amo definire delle tre C: Consapevolezza, Cautela e Controllo.
A cura di: Salvatore Lombardo
Nel panorama odierno della sicurezza informatica, la protezione degli endpoint rappresenta un obiettivo imprescindibile per…
I numeri dell’evento Oltre 1000 ospiti, 42 relatori, 20 interventi tematici e 5 Tavole Rotonde:…
Group-IB è un fornitore, con sede a Singapore, di sistemi ad elevata attendibilità per il…
Le interazioni di natura digitale, su rete pubblica o all’interno di reti private, hanno assunto…
La Commissione Europea ha di recente ricordato come “Artificial intelligence (AI) is not science fiction;…
Di seguito il programma della Cyber Crime Conference 2024, che avrà luogo a Roma nei…